Élősködő website – szabaduljunk meg tőle!

A bevezetőben említett website-ok közé tartozik a Lop.com, amely nagy ismertségre tett szert az internetezők között, mondhatni hírhedtté vált. A site egy, a C2 Media kezelésben levő keresőportál, mely abból szerzi a működéséhez szükséges pénzt, hogy a rajta keresztül kattintó felhasználók után a szerződéses weboldalak fizetnek a cégnek.

Nincsen ebben még semmi hajmeresztő, hiszen számos ilyen megoldás létezik szerte a Világhálón. A Lop.com viszont meglehetősen etikátlan módon toborozza ügyfeleit: olyan MP3 és pornókeresőnek nevezett szoftvert népszerűsít, amelyet lefuttatva alaposan megváltoznak böngészőnk beállításai. A telepítő működése után ugyanis gyakorlatilag nagyon sok esetben a Lop.com oldal ugrik fel (berakja magát kezdőlapnak, ez a website jelenik meg akkor is, ha nem létezik az általunk begépelt URL, megváltoztatja a toolbar beállításokat stb.).

A mutálódó ellenség

Download_plugin.exe a neve annak a korai verziónak, amely két állományt telepít a felhasználó rendszerére. Az egyik egy HTML file, ez tartalmazza a másik, shockwave file betöltésének kódját. A wallpaper könyvtárba másolt állományokat használja fel a telepítő: a HTML file-t beállítja háttérképnek, így a flash-keresőmotor minden rendszerindulás után a desktopra ül.

Létezik egy másik ˝megoldás˝ is, ez az mp3search.exe nevet kapta. Ez kihagyja az előbb említett desktopfunkciót, de ettől függetlenül ugyanolyan makacs módon ragaszkodik hozzánk, mint BKV-ellenőr a jegyet nem váltó utashoz. Mindkét verzió közös tulajdonsága, hogy feltelepítenek egy lecsupaszított böngészőt, amely az Internet Explorer motorját használja. Ez automatikusan képes a http://www.mp3search.com-ot elindítani.

Mind az Internet Explorert, mind a Mozilla-t és a Netscape-et képes ˝megfertőzni˝. Kivétel ez alól a Mozilla abban az esetben, ha a korai, donwload_plugin.exe nevű állomány próbált meg élősködni, ez ugyanis még nincsen felkészítve a nyílt forrású böngészőre. Létrehoz viszont egy browser helper objektumot (BHO), ami gyakorlatilag egy olyan DLL állomány, mellyel a fejlesztők számára lehetségessé válik az Internet Explorer átszabása, illetve ellenőrzése. A file keresztségben a Plg_ie0.dll nevet kapta.

Ha harc, legyen harc!

Létezik egy BHODemon nevű program, amely a Registry ellenőrzésével képes minden BHO-t kimutatni (részletesen is), illetve ezeket ki/bekapcsolni. A kapcsolódó linkek résznél letölthető a szoftver, de ezt mindenki csak saját felelősségére használja, ugyanis nem megfelelő kezelésével könnyen két vállra fektethetünk olyan alkalmazásokat is, amelyek működése fontos lehet számunkra (például Go!zilla).

A fenti kis kitérővel azonban korántsem érnek véget megpróbáltatásaink, további feladatokat kell végrehajtani, ha véglegesen meg akarunk szabadulni a Lop.com-tól és összes nyűgjétől. A Mozilla prefs.js állományát (amely a felhasználó beállításait tartalmazza) például átnevezi prefs.bk!-ra és lecseréli egy olyan állományra, amelyben a következő bejegyzés található: user_pref(˝browser.startup.homepage˝, ˝www.lop.com˝);

Lecseréli a bookmarks.html-t is, a régi file bookmarks.bk! nevet kap, az új pedig természetesen tele van olyan URL-ekkel, amelyek a Lop.com-ra mutatnak. Ezen állományok visszaállításával, illetve a módosított file-ok letörlésével újabb előrelépést lehet tenni (Netscape és Mozilla használóknak) a tiszta állapot eléréséhez.

Legyünk éberek, csatát nyertünk, háborút még nem!

Végezetül, hogy teljes legyen a telepítő munkája, a Registry kerül terítékre. A rendszert leíró adatbázisban olyan bejegyzéseket hoz létre, melyek minden indításkor automatikusan futtatják az mp3search.exe (vagy a lopsearch.exe, verziótól függően) állományt. Éppen ezért egyáltalán nem dőlhetünk kényelmesen hátra, ha a korábban említett ellenlépéseket mind megtettük, hiszen elég egy reset és máris újból eluralkodik számítógépünk felett. Ha hagyjuk (és ezen információk hiánya esetén nem sok egyéb választásunk marad), internetezés közben saját magunk válunk DoS támadás áldozatává – majdnem minden, böngészőben végrehajtott cselekedetünk után szembetaláljuk magunkat a Lop.com-mal, ahol üresfejű zombinak tekintik az így megszerzett ˝ügyfelet˝ (azaz minket), aki kattintgat majd a honlapon, ezzel is termelve a pénzt a site tulajdonosának.

Ráadásul a C2 Media tökéletesen tisztában van azzal, hogy amit szoftverével tesz, az az emberek számára egyáltalán nem kívánt szolgáltatás, s azzal is, hogy küzdeni fognak ellene. Éppen ezért a cikk írásakor már hallani lehetett olyan verziók létéről, amelyek a fent ismertetett variánsoknál még újabbak.

Rántsuk ki Artúr király kardját a sziklából!

Annak, aki eddig becsületesen végigolvasta a cikket, bizonyára már motoszkál az agyában a kérdés: jó-jó, rengeteg törléssel, Registry-turkálással, állapot-visszaállítással ki lehet rugdosni a rendszerből a Lop.com minden kis fullánkját, ám ez meglehetősen macerás, nincsen egy gyorsabb megoldás? Szerencsére van.

A jelenleg legfrissebb Ad-aware program június 15-én készült el, ennek letöltése mindenképpen ajánlható, ugyanis nemcsak a cikkben kivesézett problémára kínál megoldást, hanem majdnem az összes hasonló kellemetlenség megszüntethető vele. A kapcsolódó linkek részben ez az alkalmazás szintén letölthető.

Végezetül álljon itt egy lépésről-lépésre haladó eljárás, amelynek segítségével lezárhatjuk végre az egész mizériát:

– A system trayben található a kis élősködő ikonja (egy szürke négyzetben levő kék karikát, s benne egy fekete alapon levő szürke valamit keressünk), ezen kattintsunk egyet az egér jobb gombjával, majd a MENU-re kattintsunk. Válasszuk ki az UNINSTALL pontot, amely az összes Internet Explorerben történt kedvencet eltávolítja. Előfordulhat, hogy nem találkozunk ezzel az ikonnal, ekkor manuálisan leszünk kénytelenek kiszedni a kedvencekből a nekünk nem kellő bejegyzéseket.
– Futtassuk az Ad-aware programot, amellyel kitakarítható a Lop.com telepítőjének minden maradványa.
– Jelentkezzünk ki, majd keressük meg a Windows könyvtárában található TEMP mappát. Ebben megtalálható az összes olyan file, ami ideiglenesen került fel a rendszerbe, tehát győződjünk meg arról, hogy már nem lesz szükség egyikre sem. Irtsunk ki mindent a könyvtárból, ne kíméljünk semmit sem. Amennyiben a rendszer figyelmeztet, hogy az adott file-t nem lehet törölni, akkor azt ugorjuk át.
– Attól függően, hogy melyik telepítőváltozat került a merevlemezre, még szükség lehet egy vagy két állomány letörlésére. A Windows /web/wallpaper könyvtárában levő desktop.htm és desktop.swf file-okat szintén irtsuk ki. Változtassuk meg a Desktop hátterét, ha szükséges.
– Végeztünk, élvezzük ki a rendszer élősködő-mentességét (és a jövőben legyünk körültekintőbbek)!

(Megjegyzés: a kapcsolódó linkeknél azért nem található meg a Lop.com webcíme, mert nem szeretnénk senkit sem kitenni ennek a procedúrának. Az oldal látogatása nagyon nem ajánlott, mindenki csak saját felelősségére tegye!)